4742 (S): un compte d’ordinateur a été modifié.4742(S): A computer account was changed.

S'applique àApplies to

  • Windows10Windows 10
  • Windows Server2016Windows Server 2016
Event 4742 illustration

Sous-catégorie:   Audit de la gestion des comptes d’ordinateurSubcategory: Audit Computer Account Management

Description de l'événement :Event Description:

Cet événement se produit chaque fois qu’un objet ordinateur est modifié.This event generates every time a computer object is changed.

Cet événement ne génère que sur les contrôleurs de domaine.This event generates only on domain controllers.

Il est possible que vous rencontriez les mêmes valeurs pour ID de sécurité d' objet \ Security ID et compte d’ordinateur qui a changé \ ID de sécurité dans cet événement.You might see the same values for Subject\Security ID and Computer Account That Was Changed\Security ID in this event. Cela se produit généralement lorsque vous redémarrez un ordinateur après l’avoir ajouté au domaine (la modification prend effet après le redémarrage).This usually happens when you reboot a computer after adding it to the domain (the change takes effect after the reboot).

Un événement 4742 distinct est généré pour chaque modification.For each change, a separate 4742 event will be generated.

Certaines modifications n’appellent pas un événement 4742, par exemple, les modifications apportées à l’aide des utilisateurs et de la console de gestion des ordinateurs Active Directory, sous l’onglet géré par dans les propriétés du compte d’ordinateur.Some changes do not invoke a 4742 event, for example, changes made using Active Directory Users and Computers management console in Managed By tab in computer account properties.

Il est possible que cet événement apparaisse sans modification dans la mesure où tous les attributs modifiés apparaissent en tant que «-».You might see this event without any changes inside, that is, where all Changed Attributes appear as “-“. Cela se produit généralement lorsqu’une modification est apportée à un attribut qui n’est pas répertorié dans l’événement.This usually happens when a change is made to an attribute that is not listed in the event. Dans le cas présent, il n’existe aucun moyen de déterminer l’attribut modifié.In this case there is no way to determine which attribute was changed. Par exemple, cela se produit si vous modifiez la Description d’un objet de groupe à l’aide de la console d’administration utilisateurs et ordinateurs Active Directory.For example, this would happen if you change the Description of a group object using the Active Directory Users and Computers administrative console. Par ailleurs, si la liste de contrôle d’accès discrétionnaire (DACL) est modifiée, un événement 4742 est généré, mais tous les attributs seront «-».Also, if the discretionary access control list (DACL) is changed, a 4742 event will generate, but all attributes will be “-“.

**Important : Si vous modifiez manuellement un paramètre ou un attribut lié à un utilisateur, par exemple si vous définissez l’indicateur SMARTCARD \ _REQUIRED dans UserAccountControl pour le compte d’ordinateur, le samAccountType du compte d’ordinateur sera remplacé par NORMAL \ _USER \ _Account et vous obtiendrez «4738: un compte d’utilisateur a été modifié» au lieu d' 4742 pour ce compte d’ordinateur.*Important*: If you manually change any user-related setting or attribute, for example if you set the SMARTCARD_REQUIRED flag in userAccountControl for the computer account, then the sAMAccountType of the computer account will be changed to NORMAL_USER_ACCOUNT and you will get “4738: A user account was changed” instead of 4742 for this computer account. En gros, le compte d’ordinateur sera «devenu» un compte d’utilisateur.Essentially, the computer account will “become” a user account. Pour les \ _USER \ _ACCOUNT vous recevez toujours des événements de la sous-catégorie de gestion des comptes d’utilisateurs .For NORMAL_USER_ACCOUNT you will always get events from Audit User Account Management subcategory. Nous vous recommandons vivement de ne pas modifier les paramètres liés à l’utilisateur manuellement pour les objets ordinateur.We strongly recommend that you avoid changing any user-related settings manually for computer objects.

** Remarque **  Pour les recommandations, voir les recommandations en matière de surveillance de la sécurité pour cet événement.Note  For recommendations, see Security Monitoring Recommendations for this event.


XML event :Event XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4742</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>13825</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-14T02:35:01.252397000Z" /> 
 <EventRecordID>171754</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="520" ThreadID="1108" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="ComputerAccountChange">-</Data> 
 <Data Name="TargetUserName">WIN81$</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-6116</Data> 
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x2e80c</Data> 
 <Data Name="PrivilegeList">-</Data> 
 <Data Name="SamAccountName">-</Data> 
 <Data Name="DisplayName">-</Data> 
 <Data Name="UserPrincipalName">-</Data> 
 <Data Name="HomeDirectory">-</Data> 
 <Data Name="HomePath">-</Data> 
 <Data Name="ScriptPath">-</Data> 
 <Data Name="ProfilePath">-</Data> 
 <Data Name="UserWorkstations">-</Data> 
 <Data Name="PasswordLastSet">-</Data> 
 <Data Name="AccountExpires">-</Data> 
 <Data Name="PrimaryGroupId">-</Data> 
 <Data Name="AllowedToDelegateTo">%%1793</Data> 
 <Data Name="OldUacValue">0x80</Data> 
 <Data Name="NewUacValue">0x2080</Data> 
 <Data Name="UserAccountControl">%%2093</Data> 
 <Data Name="UserParameters">-</Data> 
 <Data Name="SidHistory">-</Data> 
 <Data Name="LogonHours">-</Data> 
 <Data Name="DnsHostName">-</Data> 
 <Data Name="ServicePrincipalNames">-</Data> 
 </EventData>
 </Event>

Rôles de serveur requis: Contrôleur de domaine Active Directory.Required Server Roles: Active Directory domain controller.

Version minimum du système d’exploitation: Windows Server 2008.Minimum OS Version: Windows Server 2008.

Versions d’événement: 0,4.Event Versions: 0.

Descriptions des champs :Field Descriptions:

Objet:Subject:

  • ID de sécurité \ [type = sid ]: SID de compte qui a demandé l’opération «modifier l’objet ordinateur».Security ID [Type = SID]: SID of account that requested the “change Computer object” operation. Le visionneur d'événements tente automatiquement de résoudre les SID et d'afficher le nom du compte.Event Viewer automatically tries to resolve SIDs and show the account name. Si la PIM ne peut pas être résolue, vous verrez les données sources dans l'événement.If the SID cannot be resolved, you will see the source data in the event.

** Remarque**  Un** identificateur de sécurité (SID)** est une valeur unique de longueur variable utilisée pour identifier un fiduciaire (principal de la sécurité).Note  A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Chaque compte possède un SID unique qui est délivré par une autorité, telle qu'un contrôleur de domaine Active Directory, et stocké dans une base de données de sécurité.Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Chaque fois qu'un utilisateur se connecte, le système récupère le SID pour cet utilisateur dans la base de données et le place dans le jeton d'accès pour cet utilisateur.Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. Le système utilise le SID du jeton d'accès pour identifier l'utilisateur dans toutes les interactions ultérieures avec la sécurité de Windows.The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. Lorsqu'un SID a été utilisé comme identifiant unique pour un utilisateur ou un groupe, il ne peut plus jamais être utilisé pour identifier un autre utilisateur ou groupe.When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Pour plus d'informations sur les SIDs, voir Identificateurs de sécurité.For more information about SIDs, see Security identifiers.

  • Nom du compte \ [type = UnicodeString ]: nom du compte qui a demandé l’opération «modifier l’objet ordinateur».Account Name [Type = UnicodeString]: the name of the account that requested the “change Computer object” operation.

  • Domaine de compte \ [type = UnicodeString ]: nom de domaine de l’objet.Account Domain [Type = UnicodeString]: subject’s domain name. Les formats varient et comprennent les éléments suivants :Formats vary, and include the following:

    • Exemple de nom de domaine NETBIOS : CONTOSODomain NETBIOS name example: CONTOSO

    • Nom de domaine complet en minuscules : contoso.localLowercase full domain name: contoso.local

    • Nom de domaine complet en majuscules : CONTOSO.LOCALUppercase full domain name: CONTOSO.LOCAL

    • Pour certains principes de sécurité bien connus, tels que LOCAL SERVICE ou ANONYMOUS LOGON, la valeur de ce champ est « NT AUTHORITY».For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.

  • Identification de connexion [Type = HexInt64]: valeur hexadécimale qui peut vous aider à corréler cet événement avec des événements récents qui pourraient contenir la même identification de connexion, par exemple, «4624: Un compte a été connecté avec succès».Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”

Compte d’ordinateur modifié:Computer Account That Was Changed:

  • ID de sécurité \ [type = sid ]: SID du compte d’ordinateur modifié.Security ID [Type = SID]: SID of changed computer account. Le visionneur d'événements tente automatiquement de résoudre les SID et d'afficher le nom du compte.Event Viewer automatically tries to resolve SIDs and show the account name. Si la PIM ne peut pas être résolue, vous verrez les données sources dans l'événement.If the SID cannot be resolved, you will see the source data in the event.

  • Nom du compte \ [type = UnicodeString ]: nom du compte d’ordinateur qui a été modifié.Account Name [Type = UnicodeString]: the name of the computer account that was changed. Par exemple: WIN81 $For example: WIN81$

  • Domaine de compte \ [type = UnicodeString ]: nom de domaine du compte d’ordinateur modifié.Account Domain [Type = UnicodeString]: domain name of changed computer account. Les formats varient et comprennent les éléments suivants :Formats vary, and include the following:

    • Exemple de nom de domaine NETBIOS : CONTOSODomain NETBIOS name example: CONTOSO

    • Nom de domaine complet en minuscules : contoso.localLowercase full domain name: contoso.local

    • Nom de domaine complet en majuscules : CONTOSO.LOCALUppercase full domain name: CONTOSO.LOCAL

Attributs modifiés:Changed Attributes:

Note   Remarques   Si l’attribut n’a pas été modifié, il aura la valeur «-».Note  If attribute was not changed it will have “-“ value.

  • Nom du compte Sam \ [type = UnicodeString ]: nom de connexion du compte utilisé pour la prise en charge des clients et des serveurs dans les versions précédentes de Windows (nom de connexion antérieur à Windows 2000).SAM Account Name [Type = UnicodeString]: logon name for account used to support clients and servers from previous versions of Windows (pre-Windows 2000 logon name). Si la valeur de l’attribut sAMAccountName de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of sAMAccountName attribute of computer object was changed, you will see the new value here. Par exemple: WIN8 $.For example: WIN8$.

  • Nom d’affichage \ [type = UnicodeString ]: il s’agit d’un nom affiché dans le carnet d’adresses pour un compte particulier (généralement, compte d’utilisateur).Display Name [Type = UnicodeString]: it is a name displayed in the address book for a particular account (typically – user account). Il s’agit généralement de la combinaison du prénom de l’utilisateur, de l’initiale du deuxième prénom et du nom de famille.This is usually the combination of the user's first name, middle initial, and last name. Pour les objets ordinateur, il est facultatif et n’est généralement pas défini.For computer objects, it is optional, and typically is not set. Vous pouvez modifier cet attribut en utilisant les utilisateurs et ordinateurs Active Directory, ou via un script, par exemple.You can change this attribute by using Active Directory Users and Computers, or through a script, for example. Si la valeur de l’attribut DisplayName de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of displayName attribute of computer object was changed, you will see the new value here.

  • Nom d’utilisateur principal \ [type = UnicodeString ]: nom de connexion de type Internet pour le compte, en fonction de la norme internet RFC 822.User Principal Name [Type = UnicodeString]: internet-style login name for the account, based on the Internet standard RFC 822. Par Convention, cela doit correspondre au nom de messagerie du compte.By convention this should map to the account's email name. Si la valeur de l’attribut userPrincipalName de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of userPrincipalName attribute of computer object was changed, you will see the new value here. Pour les objets ordinateur, il est facultatif et n’est généralement pas défini.For computer objects, it is optional, and typically is not set. Vous pouvez modifier cet attribut en utilisant les utilisateurs et ordinateurs Active Directory, ou via un script, par exemple.You can change this attribute by using Active Directory Users and Computers, or through a script, for example.

  • Répertoire de base \ [type = UnicodeString ]: répertoire de base de l’utilisateur.Home Directory [Type = UnicodeString]: user's home directory. Si l’attribut homeDrive est défini et spécifie une lettre de lecteur, HomeDirectory doit être un chemin d’accès UNC.If homeDrive attribute is set and specifies a drive letter, homeDirectory should be a UNC path. Path doit être un réseau UNC de la forme \\Server\Share\Directory.The path must be a network UNC of the form \\Server\Share\Directory. Si la valeur de l’attribut HomeDirectory de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of homeDirectory attribute of computer object was changed, you will see the new value here. Pour les objets ordinateur, il est facultatif et n’est généralement pas défini.For computer objects, it is optional, and typically is not set. Vous pouvez modifier cet attribut en utilisant les utilisateurs et ordinateurs Active Directory, ou via un script, par exemple.You can change this attribute by using Active Directory Users and Computers, or through a script, for example.

  • Home Drive \ [type = UnicodeString ]: spécifie la lettre de lecteur à laquelle mapper le chemin UNC spécifié par l’attribut du compte HomeDirectory .Home Drive [Type = UnicodeString]: specifies the drive letter to which to map the UNC path specified by homeDirectory account’s attribute. La lettre du lecteur doit être spécifiée dans le formulaire «lecteur \ _LETTER:».The drive letter must be specified in the form “DRIVE_LETTER:”. Par exemple: «H:».For example – “H:”. Si la valeur de l’attribut homeDrive de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of homeDrive attribute of computer object was changed, you will see the new value here. Pour les objets ordinateur, il est facultatif et n’est généralement pas défini.For computer objects, it is optional, and typically is not set. Vous pouvez modifier cet attribut en utilisant les utilisateurs et ordinateurs Active Directory, ou via un script, par exemple.You can change this attribute by using Active Directory Users and Computers, or through a script, for example.

  • Chemin de script \ [type = UnicodeString ]: spécifie le chemin d’accès du script d’ouverture de session du compte.Script Path [Type = UnicodeString]: specifies the path of the account’s logon script. Si la valeur de l’attribut ScriptPath de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of scriptPath attribute of computer object was changed, you will see the new value here. Pour les objets ordinateur, il est facultatif et n’est généralement pas défini.For computer objects, it is optional, and typically is not set. Vous pouvez modifier cet attribut en utilisant les utilisateurs et ordinateurs Active Directory, ou via un script, par exemple.You can change this attribute by using Active Directory Users and Computers, or through a script, for example.

  • Chemin du profil \ [type = UnicodeString ]: spécifie un chemin d’accès au profil du compte.Profile Path [Type = UnicodeString]: specifies a path to the account's profile. Cette valeur peut être une chaîne nulle, un chemin d’accès absolu local ou un chemin d’accès UNC.This value can be a null string, a local absolute path, or a UNC path. Si la valeur de l’attribut profilePath de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of profilePath attribute of computer object was changed, you will see the new value here. Pour les objets ordinateur, il est facultatif et n’est généralement pas défini.For computer objects, it is optional, and typically is not set. Vous pouvez modifier cet attribut en utilisant les utilisateurs et ordinateurs Active Directory, ou via un script, par exemple.You can change this attribute by using Active Directory Users and Computers, or through a script, for example.

  • Stations de travail utilisateur \ [type = UnicodeString ]: contient la liste des noms NetBIOS ou DNS des ordinateurs à partir desquels l’utilisateur peut se connecter.User Workstations [Type = UnicodeString]: contains the list of NetBIOS or DNS names of the computers from which the user can logon. Chaque nom d’ordinateur est séparés par une virgule.Each computer name is separated by a comma. Le nom d’un ordinateur est la propriété sAMAccountName d’un objet ordinateur.The name of a computer is the sAMAccountName property of a computer object. Si la valeur de l’attribut userWorkstations de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of userWorkstations attribute of computer object was changed, you will see the new value here. Pour les objets ordinateur, il est facultatif et n’est généralement pas défini.For computer objects, it is optional, and typically is not set. Vous pouvez modifier cet attribut en utilisant les utilisateurs et ordinateurs Active Directory, ou via un script, par exemple.You can change this attribute by using Active Directory Users and Computers, or through a script, for example.

  • Dernière connexion du mot de passe \ [type = UnicodeString ]: dernière modification du mot de passe du compte.Password Last Set [Type = UnicodeString]: last time the account’s password was modified. Si la valeur de l’attribut pwdLastSet de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of pwdLastSet attribute of computer object was changed, you will see the new value here. Par exemple: 8/12/2015 11:41:39 AM.For example: 8/12/2015 11:41:39 AM. Cette valeur est modifiée, par exemple, après une action de réinitialisation du compte d’ordinateur manuel ou automatiquement tous les 30 jours par défaut pour les objets ordinateur.This value will be changed, for example, after manual computer account reset action or automatically every 30 days by default for computer objects.

  • Le compte expire \ [type = UnicodeString ]: date d’expiration du compte.Account Expires [Type = UnicodeString]: the date when the account expires. Si la valeur de l’attribut accountExpires de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of accountExpires attribute of computer object was changed, you will see the new value here. Pour les objets ordinateur, il est facultatif et n’est généralement pas défini.For computer objects, it is optional, and typically is not set. Vous pouvez modifier cet attribut en utilisant les utilisateurs et ordinateurs Active Directory, ou via un script, par exemple.You can change this attribute by using Active Directory Users and Computers, or through a script, for example.

  • ID de groupe principal \ [type = UnicodeString ]: identificateur relatif (RID) du groupe principal d’objets de l’ordinateur.Primary Group ID [Type = UnicodeString]: Relative Identifier (RID) of computer’s object primary group.

Note   Remarques   L' identificateur relatif est un nombre de longueur variable attribué aux objets lors de la création et fait partie de l’identificateur de sécurité (SID) de l’objet qui identifie de manière unique un compte ou un groupe au sein d’un domaine.Note  Relative identifier (RID) is a variable length number that is assigned to objects at creation and becomes part of the object's Security Identifier (SID) that uniquely identifies an account or group within a domain.

Ce champ contient une valeur si le groupe principal d’objets de l’ordinateur a été modifié.This field will contain some value if computer’s object primary group was changed. Vous pouvez modifier le groupe principal de votre ordinateur à l’aide de la console utilisateurs et ordinateurs Active Directory, dans l’onglet membre de de propriétés d’objet de l’ordinateur.You can change computer’s primary group using Active Directory Users and Computers management console in the Member Of tab of computer object properties. Un nouveau groupe principal est affiché en tant que valeur de champ.You will see a RID of new primary group as a field value. Par exemple, dans 515 (ordinateurs de domaine) pour les stations de travail, il s’agit d’un groupe principal par défaut.For example, 515 (Domain Computers) for workstations, is a default primary group.

Valeurs de groupe principal typiques pour les comptes d’ordinateur:Typical Primary Group values for computer accounts:

  • 516 (contrôleurs de domaine)-pour les contrôleurs de domaine.516 (Domain Controllers) – for domain controllers.

  • 521 (contrôleurs de domaine en lecture seule) – contrôleurs de domaine en lecture seule (RODC).521 (Read-only Domain Controllers) – read-only domain controllers (RODC).

  • 515 (ordinateurs du domaine)-serveurs et stations de travail.515 (Domain Computers) – servers and workstations.

    https://support.microsoft.com/kb/243330Pour plus d’informations, consultez cet article.See this article https://support.microsoft.com/kb/243330 for more information. Si la valeur de l’attribut primaryGroupID de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of primaryGroupID attribute of computer object was changed, you will see the new value here.

  • AllowedToDelegateTo \ [type = UnicodeString ]: liste des SPN auxquels ce compte peut présenter des informations d’identification déléguées.AllowedToDelegateTo [Type = UnicodeString]: the list of SPNs to which this account can present delegated credentials. Peut être modifié à l’aide de la console utilisateurs et ordinateurs Active Directory sous l’onglet délégation du compte d’ordinateur.Can be changed using Active Directory Users and Computers management console in Delegation tab of computer account. Si la liste SPN sous l’onglet délégation d’un compte d’ordinateur a changé, vous verrez la nouvelle liste SPN dans le champ AllowedToDelegateTo (Notez que vous verrez la nouvelle liste au lieu de modifications) de cet événement.If the SPNs list on Delegation tab of a computer account was changed, you will see the new SPNs list in AllowedToDelegateTo field (note that you will see the new list instead of changes) of this event. Voici un exemple de AllowedToDelegateTo:This is an example of AllowedToDelegateTo:

    • DCOM/WIN2012dcom/WIN2012

    • DCOM/WIN2012. contoso. localdcom/WIN2012.contoso.local

      Si la valeur de l’attribut msDS-AllowedToDelegateTo de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of msDS-AllowedToDelegateTo attribute of computer object was changed, you will see the new value here.

      La valeur peut être ** < définie > sur non**, par exemple, si la délégation a été désactivée.The value can be <value not set>, for example, if delegation was disabled.

Note   Remarques   Le nom de principal de service (SPN) est le nom par lequel un client identifie de façon unique une instance d’un service.Note  Service Principal Name (SPN) is the name by which a client uniquely identifies an instance of a service. Si vous installez plusieurs instances d’un service sur des ordinateurs au sein d’une forêt, chaque instance doit avoir son propre SPN.If you install multiple instances of a service on computers throughout a forest, each instance must have its own SPN. Une instance de service donnée peut avoir plusieurs SPN s’il existe plusieurs noms que les clients peuvent utiliser pour l’authentification.A given service instance can have multiple SPNs if there are multiple names that clients might use for authentication. Par exemple, un SPN inclut toujours le nom de l’ordinateur hôte sur lequel l’instance de service s’exécute, afin qu’une instance de service puisse inscrire un SPN pour chaque nom ou alias de son hôte.For example, an SPN always includes the name of the host computer on which the service instance is running, so a service instance might register an SPN for each name or alias of its host.

  • Ancienne valeur UAC [type = UnicodeString ]: spécifie des indicateurs qui contrôlent le mot de passe, le verrouillage, le Désactivation/activation, le script et d’autres comportements pour le compte d’utilisateur ou d’ordinateur.Old UAC Value [Type = UnicodeString]: specifies flags that control password, lockout, disable/enable, script, and other behavior for the user or computer account. Ce paramètre contient la valeur précédente de l’attribut UserAccountControl de l’objet ordinateur.This parameter contains the previous value of userAccountControl attribute of computer object.

  • Nouvelle valeur UAC \ [type = UnicodeString ]: spécifie des indicateurs qui contrôlent le mot de passe, le verrouillage, le Désactivation/activation, le script et d’autres comportements pour le compte d’utilisateur ou d’ordinateur.New UAC Value [Type = UnicodeString]: specifies flags that control password, lockout, disable/enable, script, and other behavior for the user or computer account. Si la valeur de l’attribut UserAccountControl de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of userAccountControl attribute of computer object was changed, you will see the new value here.

Pour décoder cette valeur, vous pouvez parcourir les définitions de valeurs de propriété de la table 7.To decode this value, you can go through the property value definitions in the “Table 7. Les indicateurs UAC du compte de l’utilisateur ou de l’ordinateur.User’s or Computer’s account UAC flags.” du plus grand au plus petit.from largest to smallest. Comparez chaque valeur de propriété à la valeur flags de l’événement.Compare each property value to the flags value in the event. Si la valeur flags de l’événement est supérieure ou égale à la valeur de la propriété, la propriété est «Set» et s’applique à cet événement.If the flags value in the event is greater than or equal to the property value, then the property is "set" and applies to that event. Soustrayez la valeur de la propriété de la valeur flags dans l’événement et notez que l’indicateur s’applique, puis passez à l’indicateur suivant.Subtract the property value from the flags value in the event and note that the flag applies and then go on to the next flag.

Voici un exemple: indicateurs de valeur de l’événement: 0x15Here's an example: Flags value from event: 0x15

DécodageDecoding:

• PASSWD \ _NOTREQD 0x0020• PASSWD_NOTREQD 0x0020

• VERROUILLAGE de 0x0010• LOCKOUT 0x0010

• HOMEDIR \ _REQUIRED 0x0008• HOMEDIR_REQUIRED 0x0008

• (non déclaré) 0x0004• (undeclared) 0x0004

• ACCOUNTDISABLE 0x0002• ACCOUNTDISABLE 0x0002

• SCRIPT 0x0001• SCRIPT 0x0001

0x0020 > 0x15, par conséquent, passwd \ _NOTREQD ne s’applique pas à cet événement.0x0020 > 0x15, so PASSWD_NOTREQD does not apply to this event

0x10 < 0x15, de sorte que le verrouillage s’applique à cet événement.0x10 < 0x15, so LOCKOUT applies to this event. 0x15-0x10 = 0x50x15 - 0x10 = 0x5

0x4 < 0x5; c’est pourquoi la valeur non déclarée est définie.0x4 < 0x5, so the undeclared value is set. Ce n’est pas tout ça.We'll pretend it doesn't mean anything. 0x5-0x4 = 0x10x5 - 0x4 = 0x1

0X2 > 0x1; de sorte que ACCOUNTDISABLE ne s’applique pas à cet événement0x2 > 0x1, so ACCOUNTDISABLE does not apply to this event

0x1 = 0x1, le SCRIPT s’applique donc à cet événement.0x1 = 0x1, so SCRIPT applies to this event. 0x1-0x1 = 0x0, c’est terminé.0x1 - 0x1 = 0x0, we're done.

Par conséquent, cette fonctionnalité d’UAC marque le décodage de la valeur sur: LOCKOUT et SCRIPT.So this UAC flags value decodes to: LOCKOUT and SCRIPT

  • Contrôle de compte d’utilisateur \ [type = UnicodeString ]: affiche la liste des modifications dans l’attribut UserAccountControl .User Account Control [Type = UnicodeString]: shows the list of changes in userAccountControl attribute. Une ligne de texte s’affiche pour chaque modification.You will see a line of text for each change. Voir les valeurs possibles dans la table 7.See possible values in here: “Table 7. Les indicateurs d’UAC du compte de l’utilisateur ou de l’ordinateur.User’s or Computer’s account UAC flags.”. Dans la colonne «contrôle de compte d’utilisateur», vous pouvez voir le texte qui s’affichera dans le champ contrôle de compte d’utilisateur de l’événement 4742.In the “User Account Control field text” column, you can see text that will be displayed in the User Account Control field in 4742 event.
  • Paramètres de l’utilisateur \ [type = UnicodeString ]: Si vous modifiez un paramètre à l’aide de la console utilisateurs et ordinateurs Active Directory dans l’onglet Rendez-vous des propriétés de compte de l’ordinateur, vous verrez la ** < valeur modifié, mais elle n’est pas affichée > ** dans ce champ.User Parameters [Type = UnicodeString]: if you change any setting using Active Directory Users and Computers management console in Dial-in tab of computer’s account properties, then you will see <value changed, but not displayed> in this field.

  • Historique SID \ [type = UnicodeString ]: contient les identificateurs de sécurité précédents utilisés pour l’objet si l’objet a été déplacé à partir d’un autre domaine.SID History [Type = UnicodeString]: contains previous SIDs used for the object if the object was moved from another domain. Chaque fois qu’un objet est déplacé d’un domaine à un autre, un nouveau SID est créé et devient l’objet objectSID.Whenever an object is moved from one domain to another, a new SID is created and becomes the objectSID. Le SID précédent est ajouté à la propriété SIDHistory .The previous SID is added to the sIDHistory property. Si la valeur de l’attribut SIDHistory de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of sIDHistory attribute of computer object was changed, you will see the new value here.

  • Heures de connexion \ [type = UnicodeString ]: heures auxquelles le compte est autorisé à se connecter au domaine.Logon Hours [Type = UnicodeString]: hours that the account is allowed to logon to the domain. Si la valeur de l’attribut logonHours de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of logonHours attribute of computer object was changed, you will see the new value here. Pour les objets ordinateur, il est facultatif et n’est généralement pas défini.For computer objects, it is optional, and typically is not set. Vous pouvez modifier cet attribut en utilisant les utilisateurs et ordinateurs Active Directory, ou via un script, par exemple.You can change this attribute by using Active Directory Users and Computers, or through a script, for example.

  • Nom d’hôte DNS \ [type = UnicodeString ]: nom du compte d’ordinateur enregistré dans DNS.DNS Host Name [Type = UnicodeString]: name of computer account as registered in DNS. Si la valeur de l’attribut dNSHostName de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of dNSHostName attribute of computer object was changed, you will see the new value here.

  • Noms de principal de service \ [type = UnicodeString ]: liste des noms d’utilisateur inscrits inscrits pour le compte d’ordinateur.Service Principal Names [Type = UnicodeString]: The list of SPNs, registered for computer account. Si la liste SPN d’un compte d’ordinateur a changé, vous verrez la nouvelle liste de SPN dans le champ noms de principal du service (Notez que vous verrez la nouvelle liste au lieu de modifications).If the SPN list of a computer account changed, you will see the new SPN list in Service Principal Names field (note that you will see the new list instead of changes). Si la valeur de l’attribut servicePrincipalName de l’objet ordinateur a changé, vous verrez la nouvelle valeur ici.If the value of servicePrincipalName attribute of computer object was changed, you will see the new value here.

    Voici un exemple de champ noms de principal de service pour le nouveau domaine station de travail jointe dans l’événement 4742 du contrôleur de domaine, après le redémarrage de la station de travail :Here is an example of Service Principal Names field for new domain joined workstation in event 4742 on domain controller, after workstation reboots:

    HOST/Win81. contoso. localHOST/Win81.contoso.local

    RestrictedKrbHost/Win81. contoso. localRestrictedKrbHost/Win81.contoso.local

    HOST/WIN81HOST/WIN81

    RestrictedKrbHost/WIN81RestrictedKrbHost/WIN81

TERMSRV/Win81. contoso. localTERMSRV/Win81.contoso.local

Informations supplémentaires:Additional Information:

  • Privileges \ [type = UnicodeString ]: liste des privilèges utilisateur utilisés lors de l’opération (par exemple, SeBackupPrivilege.Privileges [Type = UnicodeString]: the list of user privileges which were used during the operation, for example, SeBackupPrivilege. Ce paramètre n’est peut-être pas capturé dans l’événement, et dans ce cas, il s’agit de «-».This parameter might not be captured in the event, and in that case appears as “-”. Pour en savoir plus, voir la liste complète des privilèges des utilisateurs dans le tableau 8.See full list of user privileges in “Table 8. Privilèges utilisateur.».User Privileges.”.

Recommandations en matière de surveillance de la sécuritéSecurity Monitoring Recommendations

Pour 4742 (S): un compte d’ordinateur a été modifié.For 4742(S): A computer account was changed.

Important   Important   Pour cet événement, reportez-vous à l’annexe A: recommandations en matière de contrôle de sécurité pour de nombreux événements d’audit.Important  For this event, also see Appendix A: Security monitoring recommendations for many audit events.

  • Si vous avez des comptes d’ordinateur de domaine critiques (serveurs de base de données, contrôleurs de domaine, stations de travail d’administration, etc.) pour lesquels vous avez besoin de surveiller chaque changement, analysez cet événement avec le «compte d’ordinateur qui a été CHANGED\SECURITY ID» correspondant au compte ou aux comptes à valeur élevée.If you have critical domain computer accounts (database servers, domain controllers, administration workstations, and so on) for which you need to monitor each change, monitor this event with the “Computer Account That Was Changed\Security ID” that corresponds to the high-value account or accounts.

  • Si vous disposez d’un compte d’ordinateur pour lequel toute modification de la liste des services sous l’onglet délégation doit être surveillée, surveiller cet événement lorsque AllowedToDelegateTo n’est pas le cas.If you have computer accounts for which any change in the services list on the Delegation tab should be monitored, monitor this event when AllowedToDelegateTo is not -. Cette valeur correspond à la modification de la liste des services.This value means the services list was changed.

  • Déterminez si vous voulez effectuer le suivi des champs et valeurs suivants:Consider whether to track the following fields and values:

Champ et valeur à suivreField and value to track Raison du suiviReason to track
Le nom d’affichage n’est pasDisplay Name is not -
Le nom d’utilisateur principal est différent deUser Principal Name is not -
Le Répertoire de base n’est pas-Home Directory is not -
Le lecteur de base est non-Home Drive is not -
Le chemin d’accès du script n’est pasScript Path is not -
Le chemin d’accès du profil n’est pasProfile Path is not -
Les stations de travail des utilisateurs ne le sont pasUser Workstations is not -
Le compte expire n’est pasAccount Expires is not -
Heures de connexion non -Logon Hours is not -
En règle générale, ces champs concernent - les comptes d’ordinateur.Typically these fields are - for computer accounts. D’autres valeurs peuvent indiquer une anomalie et être surveillées.Other values might indicate an anomaly and should be monitored.
Les modifications du jeu de dernier mot de passe se produisent plus souvent que d’habitudePassword Last Set changes occur more often than usual Les modifications apportées plus fréquemment que la valeur par défaut (généralement une fois par mois) peuvent indiquer une anomalie ou une attaque.Changes that are more frequent than the default (typically once a month) might indicate an anomaly or attack.
ID du groupe principal non 516, 521 ou 515Primary Group ID is not 516, 521, or 515 En règle générale, la valeur de l' ID de groupe principal est l’une des valeurs suivantes:Typically, the Primary Group ID value is one of the following:
516 pour les contrôleurs de domaine516 for domain controllers
521 pour les contrôleurs de domaine en lecture seule (RODC)521 for read only domain controllers (RODCs)
515 pour les serveurs et les stations de travail (ordinateurs du domaine)515 for servers and workstations (domain computers)
Les autres valeurs doivent être surveillées.Other values should be monitored.
Pour les comptes d’ordinateur pour lesquels la liste services (sous l’onglet délégation ) ne doit pas être vide: AllowedToDelegateTo est marqué comme n’étant ** < pas défini > ** .For computer accounts for which the services list (on the Delegation tab) should not be empty: AllowedToDelegateTo is marked <value not set> Si AllowedToDelegateTo est marqué comme ** < n’étant > pas défini** sur des ordinateurs qui disposaient auparavant d’une liste de services (sous l’onglet délégation ), cela signifie que la liste a été effacée.If AllowedToDelegateTo is marked <value not set> on computers that previously had a services list (on the Delegation tab), it means the list was cleared.
L’historique SID n’est pas-SID History is not - Ce champ est toujours défini sur, sauf si le compte a été migré à partir d’un autre domaine.This field will always be set to - unless the account was migrated from another domain.
  • Déterminez si vous voulez effectuer le suivi des indicateurs de contrôle de compte suivants:Consider whether to track the following account control flags:
Indicateur de contrôle de compte d’utilisateur à suivreUser account control flag to track Informations sur l’indicateurInformation about the flag
'Mot de passe non requis' -activé'Password Not Required' – Enabled Ne doit pas être défini pour les comptes d’ordinateur.Should not be set for computer accounts. Par défaut, les comptes d’ordinateur requièrent un mot de passe, à l’exception des objets ordinateur créés manuellement.Computer accounts typically require a password by default, except manually created computer objects.
'Mot de passe de texte chiffré autorisé' -activé'Encrypted Text Password Allowed' – Enabled Ne doit pas être défini pour les comptes d’ordinateur.Should not be set for computer accounts. Par défaut, il ne peut pas être défini et ne peut pas être défini dans les propriétés de compte des utilisateurs et ordinateurs Active Directory.By default, it will not be set, and it cannot be set in the account properties in Active Directory Users and Computers.
'Compte d’approbation du serveur' -activé'Server Trust Account' – Enabled Doit être activé uniquement pour les contrôleurs de domaine.Should be enabled only for domain controllers.
'Compte d’approbation du serveur' – désactivé'Server Trust Account' – Disabled Ne doit pas être désactivée pour les contrôleurs de domaine.Should not be disabled for domain controllers.
'Ne pas expiration du mot de passe' -activé'Don't Expire Password' – Enabled Ne doit pas être activé pour les comptes d’ordinateur, car le mot de passe change automatiquement tous les 30 jours par défaut.Should not be enabled for computer accounts, because the password automatically changes every 30 days by default. Pour les comptes d’ordinateur, cet indicateur ne peut pas être défini dans les propriétés de compte dans utilisateurs et ordinateurs Active Directory.For computer accounts, this flag cannot be set in the account properties in Active Directory Users and Computers.
'Smartcard obligatoire' -activé'Smartcard Required' – Enabled Ne doit pas être activé pour les comptes d’ordinateur.Should not be enabled for computer accounts.
'Approuvé pour la délégation' – activé'Trusted For Delegation' – Enabled L’activation de la délégation de contraintes Kerberos ou d’uncontraintes a été activée pour le compte d’ordinateur.Means that Kerberos Constraint or Unconstraint delegation was enabled for the computer account. Nous vous recommandons de la surveiller pour savoir s’il s’agit d’une action approuvée (effectuée par un administrateur), d’une erreur ou d’une action malveillante.We recommend monitoring this to discover whether it is an approved action (done by an administrator), a mistake, or a malicious action.
'Approuvé pour la délégation' – désactivé'Trusted For Delegation' – Disabled Désigne la désactivation de la délégation de contraintes Kerberos ou d’une contrainte pour le compte d’ordinateur.Means that Kerberos Constraint or Unconstraint delegation was disabled for the computer account. Nous vous recommandons de la surveiller pour savoir s’il s’agit d’une action approuvée (effectuée par un administrateur), d’une erreur ou d’une action malveillante.We recommend monitoring this to discover whether it is an approved action (done by an administrator), a mistake, or a malicious action.
Par ailleurs, si vous disposez d’une liste de comptes d’ordinateur pour lesquels la délégation est importante et qu’elle ne doit pas être désactivée, analysez-les pour ces comptes.Also, if you have a list of computer accounts for which delegation is critical and should not be disabled, monitor this for those accounts.
'Approuvé pour s’authentifier pour la délégation' – activé'Trusted To Authenticate For Delegation' – Enabled Signifie que la délégation de transition de protocole a été activée pour le compte d’ordinateur.Means that Protocol Transition delegation was enabled for the computer account. Nous vous recommandons de la surveiller pour savoir s’il s’agit d’une action approuvée (effectuée par un administrateur), d’une erreur ou d’une action malveillante.We recommend monitoring this to discover whether it is an approved action (done by an administrator), a mistake, or a malicious action.
'Approuvé pour s’authentifier pour la délégation' – désactivé'Trusted To Authenticate For Delegation' – Disabled Implique la désactivation de la délégation de transition de protocole pour le compte d’ordinateur.Means that Protocol Transition delegation was disabled for the computer account. Nous vous recommandons de la surveiller pour savoir s’il s’agit d’une action approuvée (effectuée par un administrateur), d’une erreur ou d’une action malveillante.We recommend monitoring this to discover whether it is an approved action (done by an administrator), a mistake, or a malicious action.
Par ailleurs, si vous disposez d’une liste de comptes d’ordinateur pour lesquels la délégation est importante et qu’elle ne doit pas être désactivée, analysez-les pour ces comptes.Also, if you have a list of computer accounts for which delegation is critical and should not be disabled, monitor this for those accounts.
Option non déléguée -activée'Not Delegated' – Enabled Signifie que le compte est sensible et ne peut pas être délégué pour le compte d’ordinateur.Means that Account is sensitive and cannot be delegated was selected for the computer account. Pour les comptes d’ordinateur, cet indicateur ne peut pas être défini à l’aide de l’interface graphique.For computer accounts, this flag cannot be set using the graphical interface. Nous vous recommandons de la surveiller pour savoir s’il s’agit d’une action approuvée (effectuée par un administrateur), d’une erreur ou d’une action malveillante.We recommend monitoring this to discover whether it is an approved action (done by an administrator), a mistake, or a malicious action.
'Utiliser la clé des uniquement' -activé'Use DES Key Only' – Enabled Ne doit pas être activé pour les comptes d’ordinateur.Should not be enabled for computer accounts. Pour les comptes d’ordinateur, il est impossible de définir les propriétés de compte dans les utilisateurs et ordinateurs Active Directory.For computer accounts, it cannot be set in the account properties in Active Directory Users and Computers.
'Ne nécessite pas d’authentification préalable''Don't Require Preauth' - Enabled Ne doit pas être activé pour les comptes d’ordinateur.Should not be enabled for computer accounts. Pour les comptes d’ordinateur, il est impossible de définir les propriétés de compte dans les utilisateurs et ordinateurs Active Directory.For computer accounts, it cannot be set in the account properties in Active Directory Users and Computers.